Devlet destekli bir tehdit aktörü, dünya genelindeki hükümet ağlarında kullanılan Cisco Adaptive Security Appliances’ı (ASA) tehlikeye atmayı ve bunlara arka kapılar kurmak için iki sıfır gün güvenlik açığını (CVE-2024-20353, CVE-2024-20359) kullanmayı başardı. Cisco Talos araştırmacıları çarşamba günü bir paylaşımda bulundu.
Araştırmacılar, bir Cisco müşterisi tarafından gözlemlenen ilk doğrulanan faaliyetin tarihi Ocak 2024’ün başlarına dayanıyor ancak asıl saldırılar Kasım 2023’te başladı. Araştırmacılar, “Ayrıca, bu yeteneğin Temmuz 2023 gibi erken bir tarihte test edilip geliştirildiğini gösteren kanıtlar belirledik” diye ekledi.
Özel kötü amaçlı yazılım
ArcaneDoor olarak adlandırılan bu kampanyadaki ilk erişim vektörü hala bilinmiyor.
Cisco Talos’un UAT4356 ve Microsoft’un STORM-1849 olarak takip ettiği tehdit aktörü, özel kötü amaçlı yazılım kullandı:
- Line Dancer, rastgele kabuk kodu veri yüklerini yüklemek ve yürütmek için yalnızca bellekte bulunan bir kabuk kodu yorumlayıcısıdır.
- Line Runner, kalıcılığı sürdürmek için bir arka kapı.
“Güvenliği aşılmış bir ASA’da, saldırganlar ana makine tarama yanıt alanı aracılığıyla kabuk kodunu gönderir ve bu kod daha sonra Line Dancer implantı tarafından ayrıştırılır. Araştırmacılar, genellikle SSL VPN oturumu oluşturma sürecinin sonraki bölümlerinde kullanılan ana bilgisayar tarama yanıtı alanının, SSL VPN, ‘istemci hizmetleri’ veya HTTPS yönetim erişimine sahip IPsec IKEv2 VPN için yapılandırılmış ASA cihazları tarafından işlendiğini açıkladı.
“Aktör, işaretçiyi varsayılan ana makine tarama yanıt koduna yönlendirerek bunun yerine Line Dancer kabuk kodu yorumlayıcısını işaret eder. Bu, aktörün herhangi bir geleneksel yönetim arayüzü aracılığıyla doğrudan kimlik doğrulaması ve etkileşime girmesine gerek kalmadan cihazla etkileşimde bulunmak için POST isteklerini kullanmasına olanak tanıyor.”
Çizgi Dansçısı sistem günlüğünü (günlük protokolü) devre dışı bırakmak, komut gösterisi yapılandırmasını ve paket yakalamalarını dışarı çıkarmak, CLI komutlarını yürütmek, cihazı çöktüğünde bir kilitlenme dökümü oluşturmayı atlamaya zorlamak (adli analizleri engellemek için) ve her zaman cihaza uzaktan bağlanabiliyor.
Hat Koşucusu Belirli bir LUA dosyasını bulmak, sıkıştırmasını açmak, yürütmek ve silmek için eski bir ASA yeteneğiyle ilgili işlevsellikten yararlanır. İçerisinde yer alan komut dosyaları, tehdit aktörünün, yeniden başlatmalara ve yükseltmelere rağmen cihazda varlığını sürdürecek HTTP tabanlı bir Lua arka kapısı bulundurmasına olanak tanıdı.
Yama yapın, araştırın, yanıtlayın
Cisco, CVE-2024-20353 ve CVE-2024-20359 için yamalar yayınladı, güvenlik ihlali göstergeleri ve Snort imzaları sağladı ve ASA cihazlarında Line Runner arka kapısını bulmak için çeşitli yöntemlerin ana hatlarını çizdi.
Cisco ASA kullanan kuruluşların, iki güvenlik açığını giderebilecek herhangi bir geçici çözüm olmadığından yamaları mümkün olan en kısa sürede uygulamaları önerilir.
Cisco, “Müşterilerin ayrıca belgelenmemiş yapılandırma değişiklikleri, planlanmamış yeniden başlatmalar ve herhangi bir anormal kimlik bilgisi etkinliği göstergeleri için sistem günlüklerini izlemeleri şiddetle tavsiye edilir” dedi.
Cisco ayrıca, bu saldırganlar tarafından istismar edilmeyen, Cisco ASA’ları etkileyen üçüncü bir güvenlik açığına (CVE-2024-20358) yönelik yamalar da yayınladı.
Hedefli saldırılar
Cisco araştırmacıları, çeşitli şirketlerin (Microsoft, Lumen Technologies) ve ABD, Kanada, Avustralya ve İngiltere’deki resmi siber güvenlik kurumlarının yardımıyla bu saldırıları analiz etmek için çalıştı.
Araştırmacılar, “Bu aktör, casusluğa net bir şekilde odaklandığını ve hedefledikleri cihazlar hakkında derinlemesine bilgi sahibi olduğunu gösteren özel araçlar kullandı; bu, gelişmiş devlet destekli bir aktörün ayırt edici özellikleridir” dedi.
Uygulanan karmaşık adli tıp önlemleri, sıfır günlerin kullanılması ve belirli hedeflere odaklanma bu sonucu yalnızca güçlendirdi.
ArcaneDoor, çoğu Çin devleti destekli bilgisayar korsanlarının işi olduğu düşünülen, VPN’ler ve güvenlik duvarları gibi “uç” ağ cihazlarını tehlikeye atmayı amaçlayan bir dizi kampanyanın en sonuncusu.
“Ayrıca ağ telemetrisi ve istihbarat ortaklarından gelen bilgiler, aktörün Microsoft ve diğer satıcıların ağ cihazlarıyla ilgilendiğini ve potansiyel olarak saldırdığını gösteriyor. Ağ ekipmanı sağlayıcınız ne olursa olsun, artık cihazların düzgün bir şekilde yamalandığından, merkezi, güvenli bir konumda oturum açtığından ve güçlü, çok faktörlü kimlik doğrulamaya (MFA) sahip olacak şekilde yapılandırıldığından emin olmanın zamanıdır,” diye uyardı Cisco Talos.
“Bu cihazlar üzerinde yer kazanmak, bir aktörün doğrudan bir kuruluşa dönmesine, trafiği yeniden yönlendirmesine veya değiştirmesine ve ağ iletişimini izlemesine olanak tanır.”